Fabrício Basto 30 de setembro de 2009 Segurança, Tecnologia
Antigamente, só se estudava os riscos dos negócios, investimentos, taxas de retorno na bolsa, mas com o crescimento da internet e dos recursos tecnológicos, começaram a surgir os vírus, os hackers, a espionagem industrial. A partir daí, surgiu à gestão de riscos na área de TI, por sinal muito importante para a manutenção dos negócios.
Gestão de riscos é o conjunto de processos que permitem às organizações identificar e programar medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.
Cada empresa deve analisar seus processos de trabalho e identificar os pontos que merecem destaque e que precisam ser protegidos contra ataques ou outros fatores que podem comprometer os ativos de informação.
O Risco no contexto da segurança da informação
A gestão de riscos tem como principal objetivo prevenir e evitar impactos negativos nos negócios. Falando em risco, devem-se ser observados esses fatores:
Ameaça: expectativa de acontecimento acidental ou proposital, causada por um agente, que pode afetar um ambiente, sistema ou ativo de informação.
Vulnerabilidade: Fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque.
Impacto: Efeito ou consequência de um ataque ou incidente para a organização.
É interessante observar que ameaça é algo externo ao ativo que se quer proteger (falha elétrica, fogo, vírus), enquanto a vulnerabilidade está associado ao próprio ativo, podendo ser decorrente de uma série de fatores, como falta de treinamento, falta de manutenção, falha humanas, etc.
A figura abaixo mostra o relacionamento existente entre esses termos. Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação. Em muitos casos a probabilidade associado a uma ameaça é calculado com base na freqüência de ocorrência (ex. freqüência de ataques, vírus, problemas elétricos). As medidas de proteção, também chamadas de controles, servem para eliminar ou reduzir os riscos, reduzindo a probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou os impactos advindos de incidentes que venham a se concretizar.
Precisamos fazer análise e uma avaliação criteriosa dos riscos, minimizando as ameaças e vulnerabilidades. Analise fatores ambientais (chuva, fogo, raio, falta de energia elétrica), fatores técnicos (configurações incorretas ou precárias, falhas de hardware e software), fatores lógicos (códigos maliciosos, invasão de sistema) e fatores humanos (erro de operação, fraude, sabotagem).
Ameaças exploram vulnerabilidades para atingir alvos de ataque. A falta de treinamento dos usuários, por exemplo, representa uma vulnerabilidade em relação à ameaça de erro humano, assim como a instalação de um Data Center no subsolo de um prédio produz vulnerabilidades associada à inundação.
Exemplos de vulnerabilidades comuns ligadas a o ambiente: – Materiais estocados dentro do Data Center, aumentando o risco de Incêndio – Fitas de backup armazenadas em armários sem proteção, dentro de caixas de papelão. – Excesso de poeira.
– Cabeamento de rede desorganizado e desprotegido.
Tratamento do risco
Existem várias medidas de proteção, utilizadas para diminuir os riscos de segurança da informação, são classificados como:
Medidas Preventivas: Controles que reduzem as probabilidades de uma ameaça de concretizar.
Medidas corretivas ou reativas: reduzem o impacto de um ataque/incidente, são medidas tomadas após a ocorrência do evento.
Medidas defectivas: expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
É sempre importante elaborarmos uma política de segurança da informação, bem clara e objetiva, mostrando todas as normas relativas à segurança dos ativos. A política de segurança para ser concretizada, precisa ter o apoio da diretoria, para evitar resistências. Também não adianta fazermos um livro com todas as regras, se não realizarmos um treinamento para passar para os colaboradores, a maioria não lê, por isso é preciso fazê-los ouvir, sabendo eles, das punições com o não comprometimento.
A gestão de riscos de ser reavaliada, a cada dia, de forma permanente, pois vulnerabilidades e ameaças surgem a todo instante, por isso é precisa monitorar todos os recursos de tecnologia da informação para que estejam em conformidade com a avaliação de risco e proteção adequada.
Artigos Interessantes:
http://www.virtue.com.br/blog/?p=26
Segurança da Informação – Adriana Beal
Abraços a todos
Fabrício Cristiam Basto, nascido e criado no interior do Espírito Santo, em São Gabriel da Palha, você conhece? Ache no Google Maps! Sou formado em Administração de Empresas com ênfase em Análise de Sistemas – CRA: 9009, com especialização em finanças, tecnologia da informação e gestão pública. Currículo Lattes: http://lattes.cnpq.br/3014017071032681
